台灣
RSS
Outpost Network Security - Outpost Network Security 企業級網絡安全專家 (下)
Outpost Network Security 企業級網絡安全專家 (下)
一站式管理.安裝與更新一 Click 輕鬆發佈
在上一篇文章中,我們扼要地示範了如何在 Windows Server 2003 伺服器上部署 Outpost Network Security (ONS) 的伺服器端程式,並透過 GPO 對網域裡的客戶端進行遙距安裝工作,大大簡化了系統管理員在網絡安全維護上的工序。在本篇文章裡,我們將再深入探討伺服器端上的 ONS 各組件,包括 Agnitum Command Center、Agnitum Update Service、Agnitum Publisher Service 及 Client Configuration Editor 的使用方法,讓你毋須親自逐台客戶端設定,也能一口氣讓整個網絡上的電腦更新防火牆保安設定。
A. 檢視 Agnitum Command Center 一站式管理中心
只要安裝好 ONS,伺服器就能隨時啟動 Agnitum Command Center 介面,對防火牆保安工作進行設定與發布!Agnitum Command Center 是 ONS 唯一的管理介面,整合了其他 3 套重要的升級、發布與設定服務,因此系統管理員只要在此進行操作即可,簡單而集中。在 Command Center 的初始畫面裡會顯示 Getting Started 項目,包括輸入合法序號來為 30 天試用版解鎖、進行更新檔中央下載管理、及為客戶端製作防火牆保護設定檔。
B. 中央管理與下載更新檔更省頻寬
要讓所有客戶端都能夠迅速更新防火牆版本,以往多任由客戶端程式主動對外存取防火牆官方伺服器,檢查最新版本與下載更新檔的做法;但對於客戶端數目多達數 百、甚至上千的大型企業來說,所有客戶端同時各自下載內容相同的更新檔,不但浪費了大量對外頻寬,亦霸佔了其他正常工作所需的網絡流量。因此 ONS 中採取中央統一下載更新檔的方式,並由 Agnitum Update Service 直接經由局域網主動分發,既可確保所有客戶端即時更新至最新版本,亦可大大減少網絡流量。
Step 1
首先,在首頁點擊「Configure Centralized Updates for Client Computers」,或從右方點擊 Agnitum Update Service 並從 Tasks 中選擇「Configure Centralized Updates」。在 General 頁面裡,你可以設定是否啟用更新服務,並選擇所有更新檔的儲存位置,預設為開啟服務。
更新檔預設下載於 Documents and Settings 中的指定位置,各更新檔並以 ZIP 格式壓縮收藏。
Step 2
在 Schedule 頁面裡,你可以指定特定時間連結到 Agnitum 官方伺服器檢查是否有更新檔,由於更新檔不定期推出,建議採用 Daily 方式並於網絡流量較低的時段進行。同時亦可設置重試的次數與間隔時間,確保檢查更新不會因網絡狀況不穩而中斷。
Step 3
至於 Connection 頁面,則可修改網絡連接設定,一般選擇 Detect Automaically 已足夠;若出現問題時則可依企業網絡環境選擇是否採用 Proxy Server。若使用 Proxy Server 需要帳號登入,則可在 Proxy Authorization 中輸入有關資料。
Step 4
完成所有設定後,Agnitum Update Service 便會自動依時進行更新檢查。若你想即時測試或手動進行更新,可以在 Agnitum Update Service 頁面裡的 Quick Tasks 選擇「Check for updates now」項目,當選項變成灰色時表示正在連結官方伺服器進行檢查。
Step 5
進入 Download History 頁面,可以檢視下載記錄,包括最近更新日期與版本號,另外檢查後並無任何新更新檔提供,則會顯示 Up to date 訊息。
客戶端何時進行更新?
一般來說,客戶端作業系統每次啟動時均會連接 Agnitum Command Center 檢測防火牆版本是否最新,並在隔一小時均會再度連接檢查,過程均為自動進行,毋須系統管理員與使用者操心。有關記錄可於 Agnitum Publisher Service 的 Service Log 中檢視。
C. 為指定用戶群建立特定網絡安全規則
初試限制 BT 活動與瀏覽不明網站
從 Agnitum Command Center 的 Client Computer 項目中,系統管理員可以輕鬆檢視到現正連接伺服器的已安裝與已上線 Client 程式的客戶端數目,並可得到阻擋惡意入侵、廣告與有害電郵的統計數字,由此可監察企業網絡是否有任何被攻擊的可能性。同時,亦可在此針對不同用戶的工作特 性劃分成若干用戶組,並為他們度身訂造適合的網絡安全規則,例如限制不必要的應用程式存取網絡佔用頻寬,又或是規管存取工作以外的網站資源。
Step 1
於 Client Computer 頁面點擊 Related Tasks 中的「Create new group」,即可建立新用戶組。請輸入用戶組名稱,並可選擇引用原有的哪一組網絡安全規則,不用擔心,引用後你即可對規則進行修改。
Step 2
建立新用戶組後,用戶組名稱將出現在左方,此時你可右擊介面中的任何客戶端名稱,選擇 Move To 功能並轉移至新的用戶組去。
Step 3
選擇適當的客戶端後,可點選用戶組名稱,然後從 Group Tasks 中點按 Configure Security Settings 修訂安全規則。
Step 4
正式進入 Client Configuration Editor 介面,這裡顯示了一共 10 個不同功能分頁,當中設定有部分與 Outpost Firewall 類似,但功能更為全面與深入。以下扼要解說各頁面用途:
General
預設防火牆規則模式與介面顯示設定
包括可選擇以 Rules Wizard、Allow Most、Block Most、Block All 與 Disable Mode 來處理未知的網絡存取動作,預設選項是 Rules Wizard。同時,亦可設定被點選最小化與關閉時,是否以系統圖示方式常註,節省桌面空間。
Application Rules
指定應用程式度身訂造的防火牆設定
為了讓系統管理員更具彈性處理各種企業內部狀況,ONS 特別設有針對指定應用程式的防火牆規則設定,而毋須單以限制 Port 存取的方式來進行。系統預設了多達十多組不同的軟體組別供管理員進行分類使用,當中亦已預訂針對該類軟件的有效防火牆規則;若有特別需要,更可自訂新組 別,並重新撰寫更貼切的規則,規則寫法與 Outpost Firewall 一樣,在撰寫原則時是採用可選擇性的「事件 + 動作」模式進行,用戶只要在預設的清單中,選擇發生事件與對應的動作,毋須任何編程技巧即可寫出合用的原則,大大方便了日常管理的需要。
Process Control
對使用者開放程序控制權限
若你確定客戶端的使用者具備足夠的安全常識與管理技巧,並有確切的工作需要,可考慮開放預設為 Disable 的 Process Control 與 Hidden Process Control 權限,並設定合理的開放層級。注意,你亦可透過「Block network access if application memory was modified by another process」選項來保障指定可運用 Process Control 的應用程式資料不被非法竄改。
Gloal Rules
客戶端整體通用原則
這裡可設定全體軟件通用的網絡安全存取原則,預設已針對 DNS、TCP、UDP 等常用通訊協定定制,多達十多個項目。你可選擇新增或修改已有項目,注意通用原則可完全覆蓋客戶端使用者所自訂的原則,又或是指定與某些使用者自訂原則融 合,視乎系統管理員是否開放權限,有關權限選項設於 Advanced 頁。
ICMP Settings
針對 ICMP 數據的安全處理
ICMP 協議對網絡資訊傳遞非常重要,但也極容易成為攻擊路由器與主機的手段,因此透過適當地限制 ICMP 訊息可大大減少被入侵的機會。在此已將 ICMP 訊息分類,只要利用方框點選容許接入與發送的類別即可。
LAN Settings
內聯網的劃分與互通
系統管理員可透過此處修改客戶端的 NetBIOS 設定,與增刪它的可信任 IP 範圍。你可透過建立 Trusted Zone 來完全允許指定 IP、網域或子網路遮罩中 IP 的所有通訊,或單純容許 NetBIOS 類的通訊數據。
Plug-Ins
輕易增刪的額外功能元件
ONS Client 具備可隨時增減元件的功能,預設元件一共有 7 項,分別用作攔截廣告、防間碟程式、網頁內容限制、DNS Cache、附件攔截、入侵攻擊檢測與主動式內容監察等。各元件均有獨立選項可供設定。
Log Cleanup 與 Password
防火牆記錄與保安加密
可設定是否保存完整防火牆攔截記錄,或針對性地設定篩選條件;另外,亦可設定密碼,以限制客戶端使用者隨意修改防火牆原則。
Advanced
防火牆原則的覆蓋與保存
在此可設定是否讓客戶端具備複蓋自訂原則之能力,亦可匯入與匯出防火牆原則。
Step 5
舉例來說,我們試試限制員工使用客戶端進行各種 BT 活動吧!先進入 Application Rules 中並選擇 Add Application 功能。在這裡你可以利用 Browse 功能瀏覽這個 BT 應用程式的執行檔,如你並無安裝該程式,則可直接鍵入執行檔名稱。Alias 項目則可選擇性地輸入。
Step 6
在這裡你需要選擇以何種方式對應用程式進行識別,Application file name 是指完全符合你輸入的檔案名稱時才執行防火牆原則;後者 Path stored in the client computer registry 則是以辨別應用程式是否引用登錄檔中指定資料列來識別,當中準確性以後者較佳。
Step 7
在這裡你可以設定是否給予該程式特別權限,只限於例外情況下使用,對於設定禁止網絡存取動作並無作用,可不用理會。
Step 8
建立 Bitcomet.exe 這個應用程式項目後,可以右擊它選擇 Move To... 移至 Blocked Applications 組別下,即可自動進行攔截。請重複 Step 5 至 Step 8 把其餘 BT Client 程式,例如 BitTorrent、BitTornado、ABC 等等逐一建立。
Step 9
若需要對組別修改原則,只要點選該組別再按 Edit 鍵,即可選擇 Allow all、Block all 或 Use custom rules 原則。
Step 10
若使用 Use custom rules,則可自訂原則內容,只需點選對應的引發事件與動作組合即可,即使不懂編寫程式語言亦能輕鬆上手。不過由我們打算把所有 BT Client 都封殺,所以單把它們移至 Blocked Applications 已足夠。
Step 11
剛才簡單幾個步驟就可以輕鬆打擊辦公室內的非法 BT 活動,至於瀏覽不明網站又要怎做呢?只要利用 Plug-Ins 中的 Content 功能即可。
Step 12
在 Content 內容頁面裡有多個功能分頁,其中 Block by Keywords 可以讓 ONS 自動依網頁內容是否含有指定關鍵字,來決定是否攔截該頁面存取;Block by URL 則是直接限制指定網址。不過,如果打算給予員工較大的自由度與工作彈性,使用 Keywords 方式已很足夠,例如輸入不雅字詞作為篩選關鍵字,再按 Add 鍵加進清單即可。
匯出防火牆原則備份
透過 Client Configuration Editor 中 Advanced 頁面的 Import/export settings,可以簡單地把新建的防火牆原則備份成單一檔案保存,方便日後引用或覆檢。
D. 輕鬆遠端更新客戶端防火牆原則
好了!現在針對特定用戶組的防火牆原則已撰寫完畢,我們可以將它即時發佈到特定客戶端或整個用戶組去。
Step 1
完成所有原則修改後,選擇 OK 便會彈出 Publish the Configuration 對話盒,在這裡可以輸入防火牆原則的編號與名稱,以方便記認。
Step 2
確定後回到主介面,在 Agnitum Publisher Service 的 Publication History 中可檢視有關防火牆原則的建立訊息,並可看到建立時間與針對用戶組名稱等。
Step 3
再檢視 Service Log,系統管理員可觀察是否已即時更新至用戶組中的所有客戶端去。
Step 4
如需手動行更新,可點擊 Client Computers 下的指定用戶組,並於介面右方 Tasks 下點選 Overwrite configuration 即可;若更新指定用戶端,則僅點選該電腦名稱並選擇 Overwrite Client configuration。
客戶端亦可主動要求更新原則
至於客戶端的使用者,亦可透過 ONS Client 的「File / Update Client Configuraton」功能,主動向伺服器端的 Agnitum Command Center 取得最新的原則資料。
E. 檢視客戶端防火牆運作實況
完成設定與發布後,系統管理員應立刻著手檢查新防火牆原則是否切實適用。如本例中,可在客戶端上試行利用 BT Client 進行下載,若下載遲遲未能啟動,並在 ONS Client 的 Network Activity 中出現該 BT Client 的存取動作被攔截,即表示原則成功引用。
同樣情況,可試著利用 Internet Explorer 輸入某些受限制的單詞作測試,若出現攔截視窗並顯示系統管理員預設的警告訊息,即表示網頁內容限制原則成功。
從認識,到踏入實戰階段!
一口氣看完了 Outpost Network Security 的安全原則設定與發佈過程,相信大家已對 ONS 的使用有基礎的了解,明白到它眾多的功能,但操作卻輕鬆簡便!剛才的示範只是小試牛刀,實際上 ONS 可以快速地應對每家企業的獨特需要,度身訂造合適的防火牆原則,下一篇文章裡我們將試著利用 ONS 應付一些常見的辦公室網絡安全狀況,請繼續密切留意啊!
